사이버범죄, 암호화폐에서 신용카드 탈취로 태세전환

사이버범죄자들이 암호화폐 가치하락으로 기대수익이 줄어들자 신종 공격기법을 동원한 신용카드 결제정보 탈취에 나선 흐름이 포착됐다. 인터넷 웹사이트 운영 서버를 감염시켜 소비자가 입력한 결제정보를 훔치는 '폼재킹(formjacking)' 기법이 유행할 전망이다.

시만텍 본사가 최근 발간한 연례 인터넷 보안 위협 보고서(ISTR) 제24호 주요 내용 한 대목이다. 회사는 보고서를 통해 "사이버범죄자들이 랜섬웨어와 암호화폐 도둑채굴(크립토재킹) 수익 감소로 폼재킹과 같은 새로운 공격을 대체 수입원으로 주목하고 있다"고 밝혔다.

ISTR은 시만텍 위협인텔리전스 '글로벌인텔리전스네트워크(GIN)'에 수집된 데이터를 분석한 결과를 담은 위협동향 분석 보고서다. GIN은 한국을 포함한 세계 157개국 1억2천300만개 공격감지센서로 이벤트를 기록하고 1억4천200만개 위협을 차단하고 있다.

시만텍의 연례 인터넷보안위협보고서(ISTR) 제24호 내용에 따르면 2018년 사이버범죄자들은 온라인쇼핑몰에 악성코드를 심어 이용자 신용카드정보를 탈취하는 유형의 '폼재킹' 공격을 활발히 진행했다. 이는 전년대비 하락한 암호화폐 시세로 기존 랜섬웨어, 크립토재킹 공격의 수익성이 떨어지면서 나타난 변화로, 올해 폼재킹 공격의 지속을 예상케 했다. [사진=Pixabay]

시만텍코리아는 26일 서울 역삼동에서 간담회를 열고 ISTR 제24호의 주요 내용과 시사점을 소개했다. 회사 SE본부의 김봉환 기술총괄 상무가 폼재킹 공격의 증가와 크립토재킹의 감소 배경을 포함한 주요 공격 동향을 설명했다.

폼재킹은 온라인쇼핑몰 사이트에 악성코드를 삽입해 이용자의 신용카드번호같은 결제정보를 훔치는 공격이다. 사이버범죄자가 쇼핑몰 운영업체의 웹서버에 특정 스크립트 코드를 삽입해, 이용자가 알아차리지 못하는 사이에 그 입력 정보를 가져오는 수법이다.

김봉환 상무는 "동남아 많은 국가에서 ATM 기기의 카드 삽입구에 '스키머(skimmer)'라는 장비를 부착해 카드정보를 탈취하는 범죄, 스키밍(skimming)이 발생했는데, 폼재킹은 온라인에서 행해지는 가상의 스키밍이라 볼 수 있다"고 말했다.

ISTR 내용에 따르면 2018년중 월평균 4천800여개 웹사이트가 폼재킹 코드에 감염됐고, 시만텍이 엔드포인트에서 차단한 폼재킹 공격은 2018년 한 해 동안 370만건에 달했다. 전체 탐지 건 중 3분의 1 가량은 연말 쇼핑시즌인 11월과 12월에 발생했다.

김 상무는 "(사이버) 암시장에서 신용카드 1장을 최대 45달러에 판매할 수 있는데, 범죄자가 지난해 월평균 발생한 폼재킹 코드 감염 사이트마다 신용카드 10장씩을 탈취했다면 월 200만달러 이상 수익을 얻는 셈"이라며 "2019년에도 이 공격이 많이 발생할 것"이라고 내다봤다.

최근 몇개월 사이 티켓마스터(Ticketmaster)와 영국항공(British Airways)같은 해외 유명 온라인 결제사이트가 폼재킹 코드에 감염됐다. 가장 광범위한 폼재킹 공격 대상은 중소규모 온라인 구매 사이트였다. 한국보다는 주로 해외 쇼핑서비스 이용시 이런 공격에 노출되기 쉽다.

김 상무는 "폼재킹은 미국처럼 외부 다운로드하는 자바스크립트를 포함해 단순한 입력양식으로 결제를 처리하도록 구성된 온라인쇼핑 사이트에 시도하기 쉬운 공격"이라며 "자바스크립트 기반 결제 구현사례가 드문 국내 쇼핑몰에 발생할 여지는 상대적으로 적다"고 언급했다.

실제로 시만텍의 국가별 데이터를 분석해 보면 지난해 한국에서 차단된 폼재킹 공격은 465건에 1건 꼴로, 0.2% 비중에 불과했다. 이처럼 사이버범죄자가 국내 쇼핑몰에 폼재킹 코드를 주입할 가능성은 상대적으로 적지만, 그렇다고 한국을 폼재킹 안전지대라 단정하긴 이르다.

김 상무는 "금융권 이상징후시스템 탐지사례 중 이용자가 한국에서 결제를 한 신용카드 정보의 또다른 결제가 불과 두 시간 뒤 미국이나 브라질에서 발생하는 일도 있었다"며 "이처럼 직구 목적으로 이용하는 해외 사이트를 통해 폼재킹 피해가 발생할 수 있다"고 지적했다.

사이버범죄자들은 폼재킹을 통해 탈취한 신용카드 정보를 사이버 암시장 '다크웹'에 판매해 현금화한다. 시만텍은 영국항공 폼재킹 공격으로 38만건 이상의 신용카드 정보가 유출돼, 범죄자들이 1천700만달러(약 190억원) 이상을 벌어들였을 것이라고 추정했다.

■ 폼재킹 활성화 배경은 크립토재킹과 랜섬웨어 공격 수익 감소

시만텍 ISTR 제24호 보고서로 제시된 2018년 폼재킹 공격 현황. [자료=시만텍]

사이버범죄자들에게 랜섬웨어와 크립토재킹이 손쉬운 돈벌이였다. 랜섬웨어 공격은 복호화 키 제공 대가로 암호화폐를 요구할 수단이었고, 크립토재킹 공격은 타인의 컴퓨터 자원을 부당하게 이용해 암호화폐를 갈취할 수단이었다.

지난해에는 상황이 달라졌다. ISTR 분석 결과 2018년 한 해 랜섬웨어 감염 공격이 전년대비 20% 감소했다. 이는 2013년 이후 첫 하락이었다. 크립토재킹 활동은 2018년 초 정점에 달했지만, 연중 52% 가량 감소했다.

이는 암호화폐 가치 하락과 데스크톱 컴퓨팅 비중 감소 결과였다. 크립토재킹 악성코드가 주로 채굴하는 암호화폐 '모네로'의 가치가 지난해 90% 하락했다. 랜섬웨어 주 표적은 데스크톱인데, 일반 이용자 컴퓨팅 환경은 클라우드와 모바일로 분산돼 그만큼 공격 효과가 줄었다.

하지만 시만텍은 기업 대상 랜섬웨어 또는 전반적인 크립토재킹 공격 위험은 여전하다고 지적했다. 지난해 전반적인 하락세와 대조적으로 기업 랜섬웨어 감염은 12% 증가했고, 12월 한 달 엔드포인트에서 차단된 크립토재킹 활동이 350만건에 달했다고 지적했다.

김 상무는 "2016년 이래 연간 개인 대상 랜섬웨어 공격 비중이 줄고 그만큼 기업 공격 비중이 늘었다"며 "기업 대상 랜섬웨어 공격 성공시 사이버범죄자가 더 큰 수익을 기대할 수 있기 때문"이라고 언급했다.

시만텍 ISTR은 이밖에 클라우드 보안 피해의 증가, 소프트웨어 공급망 공격과 복합된 '자원활용 자력형 공격', 종전과 양상이 달라진 사물인터넷(IoT) 공격, 스마트폰 앱의 기기 권한 남용에 따른 프라이버시 이슈 등을 주요 동향으로 지적했다.

시만텍 ISTR 제24호 보고서로 제시된 2018년 크립토재킹 공격 현황. [자료=시만텍]

■ 클라우드 보안 피해 우려 커져

클라우드 보안 피해는 접근권한을 잘못 설정한 리소스, 클라우드서비스를 구동하는 물리적으로 동일한 하드웨어의 취약점으로 야기된다.

접근권한을 잘못 설정한 클라우드 리소스상 보안 피해의 대표 사례는 아마존웹서비스(AWS) 클라우드스토리지 S3에서 인터넷에 노출된 데이터레코드를 꼽을 수 있다. 시만텍에 따르면 지난해 한 해만 잘못 설정된 S3 저장소에서 유출된 데이터레코드가 7천만건 이상에 달했다.

물리적으로 동일한 하드웨어에서 호스팅되는 클라우드 서버는 멜트다운, 스펙터, 포어섀도 등 중앙처리장치(CPU)의 취약점 문제에 놓여 있다. 이들 취약점은 같은 물리 서버에서 호스팅되는 타 기업 리소스의 보호 메모리 공간에 접근하는 데 악용될 수 있다.

■ 윈도 기본툴 파워셸, 표적공격 그룹이 애용

표적공격 그룹이 최신 공격 기법으로 자원활용 자력형 공격과 소프트웨어 공급망 공격을 복합한 공격을 통해 위협을 촉발하고 있다. 지난해 소프트웨어 공급망 공격은 전년대비 78% 증가했다.

자원활용 자력형 공격은 공격행위를 정상적인 프로세스에 숨길 수 있는 기법이다. 윈도 운영체제(OS)에 내장된 스크립트 도구 파워셸(Powershell)을 사용하는 악성 스크립트 공격이 그런 사례다. 악성 파워셸 스크립트 사용은 전년대비 지난해 10배 증가했다.

시만텍은 "매월 악성 스크립트 11만5천개를 차단하고 있는데 이는 전체 파워셸 사용량의 1%도 되지 않는 수치"라며 "모든 파워셸 사용활동을 차단하는 접근방식이 기업에 피해를 야기할 수 있고 이 때문에 표적공격 그룹도 이 공격을 선호한다"고 지적했다.

■ IoT 공격 대상, 전방위 스마트 기기로 확대

ISTR에 따르면 IoT 공격 대상이 라우터와 IP카메라 위주에서 스마트전구, 음성인식 비서 등으로 확대되고 있다. 시만텍은 거의 모든 기기가 공격 추가진입지점을 제공하는 등 사이버공격에 취약한 것으로 나타나고 있다.

표적공격 그룹은 IoT를 핵심 진입지점으로 주목하고 있다. VPN필터(VPNFilter) 라우터 악성코드는 기술력과 풍부한 자원을 갖춘 공격자가 만든 악성코드 사례다. 감염 기기를 파괴하거나 데이터 삭제, 자격 증명 정보 및 데이터 탈취, SCADA 통신 가로채기 등을 수행한다.

김 상무는 "IT와 산업용 IoT가 융합하는 추세가 확산됨에 따라 운영기술(OT) 영역이 다음 사이버 격전지가 될 것"이라며 "쓰립(Thrip), 트리톤(Triton) 등 공격 그룹이 운영시스템과 산업제어시스템을 겨냥한 사이버전에 관심을 보이고 있다"고 경고했다.

■ "스마트폰, 뛰어난 스파이 장치"

스마트폰의 주요 기능 접근 권한을 요구하는 iOS와 안드로이드 인기 앱 비중. [자료=시만텍]

소지자의 실시간 위치정보와 생활반경 정보를 수집, 노출하는 스마트폰 애플리케이션의 개인정보 이슈가 대두된다.

ISTR 조사 결과 인기 안드로이드 앱 45%, 인기 iOS 앱 25%가 위치정보 확인권한을 요구하고, 인기 안드로이드 앱 46%와 iOS 앱 24%가 사용자 기기 카메라 접근권한 허가를 요구한다고 파악했다. 인기 상위권 안드로이드 앱 44%와 iOS 앱 48%는 이메일주소를 공유한다.